FIA F1ライセンス管理に不正侵入 フェルスタッペンのパスポートも閲覧可能に
この不正アクセスは今夏に発生。セキュリティ研究者でもある3名のホワイトハットハッカー、ガル・ナグリ、サム・カリー、イアン・キャロルが、FIAの「ドライバー分類(Driver Categorisation)」ポータルに侵入することに成功した。
彼らはF1ファンでもあり、悪意はなく、あくまでFIAのシステム上の弱点を明らかにし、「モータースポーツ全体のエコシステムをより強固にする」ことを目的としていたという。
管理者権限の取得で内部データにアクセス可能に
FIAのドライバー分類システムは、F1のスーパーライセンスだけでなく、耐久レースなどで重要な「ゴールド/シルバー/ブロンズ」などのドライバー格付けを管理するものだ。ハッカーらは自身のプロフィールを作成し、JavaScript経由でユーザー権限を変更できることを発見。HTTP PUTリクエストを用いてアクセス権限を「管理者(admin)」に昇格させると、システム内部の管理ダッシュボードに入ることができた。
その後、テストとして1名のドライバープロフィールを開いたところ、パスワードのハッシュ化情報、メールアドレス、電話番号、パスポート情報、さらにFIAとドライバー間の内部通信まで閲覧可能になっていたという。すべてのF1ドライバーの情報がシステム上に存在しており、その中にフェルスタッペンのパスポートデータも含まれていた。ただし、ハッカーらはその時点で操作を止め、実際の個人情報にはアクセスしていない。
FIAは即日対応、当局にも報告済み
ハッカーらは6月3日にFIAへ直ちに報告し、FIAは同日中にポータルサイトをオフライン化。6月10日までに恒久的な修正を実施した。
FIAはメキシコGPの現地取材で『Autosport』に対し、次の声明を発表している。
「今夏、FIAはドライバー分類サイトに関するサイバーインシデントを認識しました。即座にデータ保護措置を講じ、法的義務に基づき関連当局に報告しました。影響を受けた少数のドライバーにはすでに通知済みであり、他のFIAデジタルプラットフォームには影響はありません」
「FIAはサイバーセキュリティとレジリエンスへの投資を続けており、世界最高水準のデータ保護体制を整えています。今後のデジタル施策でも“セキュリティ・バイ・デザイン”の方針を徹底していきます」
F1-Gate.com分析:FIAシステムの透明性と課題
今回のケースは、ハッキングそのものよりも、FIAの管理体制と透明性に焦点が集まる。ハッカーがFIAと協力し、脆弱性を公開した点は極めて稀で、モータースポーツ界におけるITセキュリティの成熟を促す一例とも言える。
一方で、フェルスタッペンのような現役F1ドライバーの個人情報が閲覧可能だったという事実は、今後のFIAデータ保護方針に大きな見直しを迫るだろう。
デジタル化が進むF1界において、システムの堅牢性とスピード、そして透明性のバランスがこれまで以上に重要になっている。
カテゴリー: F1 / FIA(国際自動車連盟)